チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Everest Formsって、うちのお問い合わせフォームでも使ってるかもでしゅ……乗っ取られるって本当でしゅか?」
「『diksimarina』っていう管理者がいたら、それだけで侵入されてるってことでしゅか?」
チップスWordPressの管理画面、最近のぞいてないでしゅ……ちょっと不安になってきたでしゅ。
ボスふふふ、ちょうどいい機会だ。今回の攻撃は痕跡が分かりやすい。すぐに点検できる。
本記事では、Everest Forms Proの未認証RCE脆弱性CVE-2026-3300の手口と、サイトを守るための初動を解説します。
5分後には自社サイトのプラグイン版数と管理者リストを点検する手順が分かります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
脆弱性の発見から悪用観測までの流れを整理します。
研究者h0xiloがWordfence経由でCVE-2026-3300を2026年2月に報告し、3月18日に修正版が公開されました。
その後4月13日から実環境での悪用が観測されており、Wordfenceは29,300件超の攻撃をブロックしています。
攻撃元はおもに2つのIP(202.56.2.126、209.146.60.26)に集中しており、自動化された大規模スキャンが進行している状態です。
未更新サイトは時間との勝負になっています。
主な経過は以下のとおりです。
事案の詳細はBleepingComputerの報道で確認できます。
Everest Formsは無料版・Pro版とも世界中で利用されているお問い合わせフォーム系プラグインです。
日本企業のコーポレートサイトやLPでも採用例があり、Pro版を入れたまま放置しているケースは少なくありません。
侵害された場合、管理者権限の作成→バックドア設置→データベース閲覧まで一気に進むため、ブランド毀損と個人情報漏洩を同時に抱えるリスクがあります。
チップスお問い合わせフォームなんて地味な部分から乗っ取られるなんて、盲点でしゅ!
ボスそう、攻撃者は地味な拡張機能をよく狙う。本体だけ守っても意味がない、と覚えておくがいい。
攻撃の中身と、いま実行すべき点検手順をまとめます。
脆弱性は「Complex Calculation(複合計算)」機能に存在し、フォームから受け取った値をPHP文字列に差し込んだうえでeval()で実行する設計でした。
sanitize_text_field()は使われていましたが、シングルクオートやPHP構文文字をエスケープしていなかったため、攻撃者は引用符を閉じて任意コードを挿入できました。
攻撃者はwp_insert_user()で管理者アカウントを作成し、//で残りのコードを無効化する手口を取っています。
攻撃の特徴と痕跡は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | Everest Forms Pro 1.9.12以前 |
| 攻撃前提 | 未認証(フォーム送信のみで成立) |
| 侵害の痕跡 | 管理者「diksimarina」の自動生成 |
| 主な攻撃元IP | 202.56.2.126/209.146.60.26 |
すぐ着手すべきは、プラグイン更新と管理者一覧の精査です。
とくに「diksimarina」というユーザー名が出てきたら、侵害確定として隔離対応に入ってください。
更新後も、過去に作成された不審アカウントは消えないため、ユーザー棚卸しと監査ログ確認をセットで実施しましょう。
チップス管理者一覧のチェックなら今すぐ管理画面でできるでしゅ!
ボスそうだ。怪しいアカウントが見つかったら、まずパスワード変更とログイン無効化を行う。話はそれからだ。
CVE-2026-3300は、未認証で管理者権限まで一気に奪われる重大脆弱性です。
修正は3月18日に出ており、4月13日から大規模スキャンが続いていることを踏まえると、未更新サイトはすでに侵害されている可能性すらあります。
Everest Forms Proの更新、「diksimarina」アカウント確認、4月以降のユーザー登録ログの精査、この3点を今日中に終わらせてください。
サイトを乗っ取られた後の復旧コストは、点検時間の100倍では済みません。
ボス痕跡が分かりやすい今のうちに動け。曖昧なまま放置するのが一番危ない。
チップス今すぐ管理画面を開いて、ユーザー一覧見てくるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
